Vogt am Freitag: Google-Bot "hackt" E-Voting der Post

9. August 2024 um 13:52
letzte Aktualisierung: 14. August 2024 um 07:50
image

Die Post liefert verwirrende Zahlen zum jüngsten Bug-Bounty-Programm auf das E-Voting-System. Ich halte das für gefährlich, weil es falsche Sicherheit vorgaukelt.

Das Schweizer E-Voting-System wird von der Post angeboten und kommt in mittlerweile vier Kantonen zum Einsatz, weitere sollen folgen. Ich persönlich bin ein entschiedener Gegner des dritten Kanals – warum das so ist, habe ich an dieser Stelle bereits erklärt. Doch darum soll es heute nicht gehen.
Verschiedenen Umfragen zufolge findet eine Mehrheit der Bevölkerung E-Voting gut. Demokratisch legitimiert ist das elektronische Abstimmen zwar noch nicht, aber wenn sich kein grosser öffentlicher Widerstand dagegen regt, dann soll E-Voting durchaus eingesetzt werden dürfen. Die Vorteile für Auslandschweizerinnen und -schweizer sowie Menschen mit Behinderung sehe ich durchaus. Aber, wenn am Computer gestimmt und gewählt wird, soll der Weg sicher sein.
Deshalb ist es ausdrücklich zu begrüssen, dass die Schweizer Post als Anbieter des Systems dieses regelmässig auf Lücken prüfen lässt. So jüngst geschehen mittels eines Bug-Bounty-Programms, dessen Ergebnisse der Gelbe Riese diese Woche präsentierte.
Kurz zusammengefasst ist die Situation laut Post wie folgt:
  • Rund 7000 ethische Hackerinnen und Hacker haben sich beteiligt
  • 29'000 Systemzugriffe wurden festgestellt
  • 10'000 davon wurden als Angriffsversuch gewertet
  • 4 Reports sind bei der Post eingegangen
  • 1 Schwachstelle wurde von der Post bestätigt, 3 Reports wurden demnach zurückgewiesen
Diese Zahlen werfen bei mir Fragen auf.
  1. Es fehlen Angaben dazu, wie viele Hackerinnen und Hacker die Post zum Bug-Bounty-Programm eingeladen hat, das ist bei solchen Tests ein normales Vorgehen.
  2. Wieso haben 7000 Hackerinnen und Hacker im Schnitt nur wenig mehr als je vier Systemzugriffe ausgeführt? Das ist erstaunlich wenig und würde für wenig motiviertes "Personal" sprechen.
  3. Wenn von 7000 Angreifenden nur 4 einen Report eingereicht haben, dann ist das eine unterirdische Quote.

Die Post macht IP-Adressen zu Menschen

Ich hege deshalb den Verdacht, dass es gar keine 7000 Menschen waren, die sich am Programm beteiligt haben. Eine Nachfrage bei der Post bestätigt dies indirekt: "Die Post hat Aktivität von 6’923 IP-Adressen am öffentlichen Intrusionstest verzeichnet", schreibt mir Sprecherin Silvana Grellmann auf meine Anfrage. IP-Adressen also, und nicht ethische Hacker.
Die Post hat also zum Beispiel den Google-Bot (und andere Crawler/Agents), der auf öffentliche Seiten zugreift, in ihrer Kommunikation zu Menschen gemacht. Das ist schönfärberisch, und mit diesem Urteil bin ich noch wohlwollend. Insgesamt habe die Post "78 sogenannte Beobachter und Beobachterinnen”, erklärt Grellmann. Das seien diejenigen Personen, "die bisher mindestens eine Meldung eingereicht haben" und von der Post entsprechend angeschrieben worden seien.

Andere Bug-Bounty-Programme, ganz andere Zahlen

Wie viele davon tatsächlich mitgemacht haben, weiss die Post nicht, da die Hackerinnen und Hacker anonym bleiben, bis sie eine Meldung einreichen. Aber faktisch mitgemacht haben kaum mehr Menschen als eine hohe zweistellige Zahl. Bei einem Bug-Bounty-Programm des Spitals Thun haben zum Vergleich 75 ethische Hackerinnen und Hacker mitgemacht und 14 Reports generiert (also 3x mehr als beim Programm der Post).
Offensichtlich schön gefärbte beziehungsweise falsche Zahlen zu kommunizieren, ist keine Bagatelle. Speziell dann nicht, wenn es um ein demokratisch hoch relevantes Instrument wie E-Voting geht. Zu insinuieren, dass 7000 Hackerinnen und Hacker sich am Bug-Bounty-Programm beteiligt und es nicht geschafft haben, eine Lücke zu finden, kann Politikerinnen und Politiker sowie die Bevölkerung in falscher Sicherheit wiegen – und das ist gefährlich.
Die Post ist aber beileibe nicht das einzige Unternehmen, das mit falschen Zahlen hantiert. In zahlreichen "Studien" vieler Sicherheitsanbieter wird regelmässig von "Millionen von Cyberangriffen" gesprochen, was viele schlagzeilen-orientierte Medien dann jeweils dankbar in die Titel ihrer Artikel schreiben. (Damit sie geklickt werden, aber dies nur am Rande.)

Wann ist ein Angriff ein Angriff und wann nur ein Bot?

Das Problem ist, dass es per se keine schlaue Definition für "Cyberangriff" gibt. Wann ist ein Angriff tatsächlich ein Angriff? Und wann ist es nur eine ungefährliche IP-Adresse, ein Bot oder ein Agent der bei der Website "vorbeischaut"? Das muss unterschieden werden. Der Schweizer Sicherheitsexperte Christian Folini hat das Thema vor rund einem Jahr in einer Keynote an der Insomnihack-Konferenz anschaulich erklärt.
Zurück zur Post: Trotz der wenigen Meldungen und der wohl geringen Anzahl Teilnehmenden ist man "zufrieden mit der Aktivität am vergangenen Intrusionstest", schreibt Sprecherin Grellmann. Es sei aber tatsächlich so, dass es weniger Angriffe gab als in den vorangegangenen Durchführungen. Zudem werde es schwieriger, Schwachstellen zu finden, je eingehender ein IT-System bereits geprüft worden sei. "Dies kann ethische Hacker dazu bewegen, sich andere, 'jüngere' Programme anzuschauen."

Update 13. August 2024: Post passt ihre Kommunikation an

Die Post spricht in ihrer Kommunikation nicht mehr von Hackerinnen und Hackern, sondern durchwegs von IP-Adressen. Ich finde das lobenswert und hoffe, dass das für die künftigen Mitteilungen rund um die nächsten Tests so beibehalten wird.

Loading

Mehr erfahren

Mehr zum Thema

image

Solarwinds behebt kritische Sicherheitslücke

Eine Schwachstelle in der Helpdesk-Lösung von Solarwinds erlaubt Cyberkriminellen die Ausführung von Remote Code. Das Unter­nehmen ruft zum Patchen auf.

publiziert am 20.8.2024
image

Vogt am Freitag: (k)ein Linkedin-Thriller

Plötzlich ist in meiner Timeline in jedem zweiten Linkedin-Posting jemand "thrilled". Warum nur? Bitte mehr chill statt thrill.

publiziert am 16.8.2024
image

Vor 21 Jahren: Der Blaster-Wurm treibt (kurz) sein Unwesen

"Das System fährt herunter." Der Blaster-Wurm liess den RPC-Dienst abstürzen, woraufhin sich infizierte Windows-Computer neu starteten.

publiziert am 16.8.2024
image

Infoguard betreibt SOC für Basler Verkehrsbetriebe

Der Security-Anbieter hat einen Zuschlag über 1,3 Millionen Franken erhalten und sich gegen zwei Konkurrenten durchgesetzt.

publiziert am 14.8.2024